ينتشر فيروس TCLBANKER عبر حسابات المراسلة الخاصة بالضحايا

اكتشف باحثون أمنيون من Elastic Security Labs فيروس طروادة المصرفي البرازيلي الجديد المسمى TCLBANKER. وعندما يصيب الجهاز، فإنه يستولي على حسابات WhatsApp وOutlook الخاصة بالضحية ويرسل رسائل تصيد إلى جهات الاتصال الخاصة بهم.

تم تسمية الحملة باسم REF3076. واستنادًا إلى البنية التحتية المشتركة وأنماط التعليمات البرمجية، قام الباحثون بربط TCLBANKER بعائلة البرامج الضارة المعروفة سابقًا MAVERICK/SORVEPOTEL.

ينتشر حصان طروادة من خلال منشئ موجه الذكاء الاصطناعي

تقول Elastic Security Labs إن البرمجيات الخبيثة تأتي كمثبت طروادة لـ Logi AI Prompt Builder، وهو تطبيق Logitech حقيقي موقّع. يأتي برنامج التثبيت في ملف ZIP ويستخدم التحميل الجانبي لـ DLL لتشغيل ملف ضار يشبه مكون Flutter الإضافي.

بمجرد تحميله، يقوم حصان طروادة بنشر حمولتين محميتين بـ .NET Reactor. إحداهما عبارة عن وحدة مصرفية والأخرى عبارة عن وحدة دودة مصممة للانتشار الذاتي.

بعد التحميل، ينشر حصان طروادة حمولتين محميتين بـ .NET Reactor. إحداهما عبارة عن وحدة مصرفية، والأخرى عبارة عن وحدة متنقلة يمكنها نشر نفسها.

تعرض محتويات دليل الملفات الملفات الضارة. المصدر: مختبرات الأمن المرنة.

الشيكات المضادة للتحليل تمنع الباحثين

هناك ثلاثة أجزاء تشكل بصمة الإصبع التي يبنيها محمل TCLBANKER.

الشيكات المضادة للتصحيح.

معلومات القرص والذاكرة.

إعدادات اللغة.

تقوم بصمة الإصبع بإنشاء مفاتيح فك التشفير للحمولة المضمنة. إذا كان هناك شيء يبدو خاطئًا، مثل إرفاق مصحح أخطاء، أو بيئة وضع الحماية، أو انخفاض مساحة القرص، فإن فك التشفير ينتج بيانات غير صحيحة، وتتوقف البرامج الضارة بصمت.

يقوم المُحمل أيضًا بتصحيح وظائف القياس عن بعد لنظام التشغيل Windows لأدوات الأمان العمياء. يقوم بإنشاء ترامبولين syscall مباشر لتجنب خطافات وضع المستخدم.

تبحث هيئة المراقبة دائمًا عن برامج التحليل مثل x64dbg وGhidra وdnSpy وIDA Pro وProcess Hacker وFrida. إذا تم العثور على أي من هذه الأدوات، فستتوقف الحمولة عن العمل.

يتم تنشيط الوحدة المصرفية فقط على أجهزة الكمبيوتر البرازيلية

يتم تنشيط الوحدة المصرفية على أجهزة الكمبيوتر الموجودة في البرازيل. يوجد ما لا يقل عن عمليتي فحص للسياج الجغرافي تبحث في رمز المنطقة والمنطقة الزمنية واللغة المحلية للنظام وتخطيط لوحة المفاتيح.

تقرأ البرامج الضارة شريط URL للمتصفح النشط باستخدام Windows UI Automation. وهو يعمل عبر العديد من المتصفحات مثل Chrome وFirefox وEdge وBrave وOpera وVivaldi، ويراقب عناوين URL/عناوين URL النشطة كل ثانية.

تقوم البرامج الضارة بعد ذلك بمطابقة عنوان URL بقائمة تضم 59 عنوان URL مشفرًا. تحتوي هذه القائمة على روابط لمواقع العملات المشفرة والبنوك ومواقع التكنولوجيا المالية في البرازيل.

عندما يقوم أحد الضحايا بزيارة أحد مواقع الويب المستهدفة، تقوم البرامج الضارة بفتح WebSocket على خادم بعيد. ثم يحصل المتسلل على التحكم الكامل عن بعد بالكمبيوتر.

بمجرد منح الوصول، يستخدم المتسلل تراكبًا يضع نافذة علوية بلا حدود فوق كل شاشة. لا يكون التراكب مرئيًا في لقطات الشاشة، ولا يمكن للضحايا مشاركة ما يرونه مع الآخرين.

يحتوي تراكب المتسلل على ثلاثة قوالب:

نموذج تجميع بيانات الاعتماد برقم هاتف برازيلي مزيف.

شاشة تقدم وهمية لـ Windows Update.

"شاشة انتظار التصيد" التي تجعل الضحايا مشغولين.

تنشر الروبوتات الضارة فيروس طروادة البرازيلي على WhatsApp وOutlook

تعمل الحمولة الثانية على نشر TCLBANKER إلى ضحايا جدد من خلال طريقتين:

تطبيق واتساب ويب.

صناديق البريد الوارد/الحسابات في Outlook.

يبحث روبوت WhatsApp عن جلسات WhatsApp Web النشطة في متصفحات Chromium من خلال تحديد موقع أدلة قاعدة البيانات المحلية للتطبيق.

يقوم الروبوت باستنساخ ملف تعريف المتصفح، ثم يقوم بتشغيل مثيل Chromium بدون رأس. "المتصفح بدون رأس هو متصفح ويب بدون واجهة مستخدم رسومية"، وفقًا لويكيبيديا. ثم يقوم بعد ذلك بإدخال JavaScript لتجاوز اكتشاف الروبوتات وجمع جهات اتصال الضحية.

في النهاية، يرسل الروبوت رسائل تصيد تحتوي على مثبت TCLBANKER إلى جهات اتصال الضحية.

يتصل روبوت Outlook من خلال أتمتة Component Object Model (COM). تتيح أتمتة COM لبرنامج ما التحكم في برنامج آخر.

يأخذ الروبوت عناوين البريد الإلكتروني من مجلد جهات الاتصال وسجل البريد الوارد، ثم يرسل رسائل بريد إلكتروني تصيدية باستخدام حساب الضحية.

تحتوي رسائل البريد الإلكتروني على سطر الموضوع "NFe disponível para impressão"، وهو ما يعني باللغة الإنجليزية "Electronic Invoice متاح للطباعة". ويرتبط بمجال تصيد احتيالي ينتحل صفة منصة ERP البرازيلية.

وبما أن رسائل البريد الإلكتروني يتم إرسالها من حسابات حقيقية، فمن المرجح أن تتجاوز مرشحات البريد العشوائي.

في الأسبوع الماضي، ذكرت Cryptopolitan أن الباحثين حددوا أربعة أحصنة طروادة تعمل بنظام Android تستهدف أكثر من 800 تطبيق من تطبيقات العملات المشفرة والخدمات المصرفية ووسائل التواصل الاجتماعي باستخدام تراكبات تسجيل دخول مزيفة.

وفي تقرير آخر، كان هناك برنامج ضار يسمى StepDrainer يستنزف المحافظ عبر +20 شبكة blockchain باستخدام واجهات اتصال محفظة Web3 المزيفة.